Condividi tramite


Panoramica dell'agente di Azure Connected Machine

L'agente di Azure Connected Machine consente di gestire le macchine virtuali Windows e Linux ospitate all'esterno di Azure nella rete aziendale o in altri provider di servizi cloud.

Avviso

Solo le versioni dell'agente Connected Machine nell'ultimo anno sono ufficialmente supportate dal gruppo di prodotti. I clienti devono eseguire l'aggiornamento a una versione dell'agente all'interno di questa finestra.

Componenti dell'agente

Panoramica dell'architettura dell'agente di Azure Connected Machine.

Il pacchetto dell'agente di Azure Connected Machine contiene diversi componenti logici in bundle:

  • Il servizio Hybrid Instance Metadata (HIMDS) gestisce la connessione ad Azure e l'identità di Azure Connected Machine.

  • L'agente di configurazione guest fornisce funzioni come valutare se il computer è conforme ai criteri richiesti e applicare la conformità.

    Si noti il comportamento seguente con la configurazione guest di Criteri di Azure per un computer disconnesso:

    • Un'assegnazione Criteri di Azure destinata ai computer disconnessi non è interessata.
    • L'assegnazione guest viene archiviata localmente per 14 giorni. Entro il periodo di 14 giorni, se l'agente Connected Machine si riconnette al servizio, le assegnazioni dei criteri vengono riapplicate.
    • Le assegnazioni vengono eliminate dopo 14 giorni e non vengono riassegnate al computer dopo il periodo di 14 giorni.
  • L'agente di estensione gestisce le estensioni della macchina virtuale, tra cui l'installazione, la disinstallazione e l'aggiornamento. Azure scarica le estensioni e le copia nella cartella %SystemDrive%\%ProgramFiles%\AzureConnectedMachineAgent\ExtensionService\downloads in Windows e nel /opt/GC_Ext/downloads in Linux. In Windows, l'estensione viene installata nel percorso seguente %SystemDrive%\Packages\Plugins\<extension> e in Linux viene installata in /var/lib/waagent/<extension>.

Nota

L'agente di Monitoraggio di Azure è un agente separato che raccoglie i dati di monitoraggio e non sostituisce l'agente Connected Machine. L'agente AMA sostituisce solo l'agente di Log Analytics, l'estensione di Diagnostica e l'agente Telegraf per i computer Windows e Linux.

Proxy di Azure Arc

Il servizio proxy di Azure Arc è responsabile dell'aggregazione del traffico di rete dai servizi dell'agente di Azure Connected Machine e di tutte le estensioni installate e di decidere dove instradare i dati. Se si usa il gateway Azure Arc (anteprima limitata) per semplificare gli endpoint di rete, il servizio proxy di Azure Arc è il componente locale che inoltra le richieste di rete tramite il gateway Azure Arc anziché la route predefinita. Il proxy di Azure Arc viene eseguito come servizio di rete in Windows e un account utente standard (arcproxy) in Linux. Per impostazione predefinita, l'agente viene disabilitato fino a quando non si configura l'agente per l'uso del gateway di Azure Arc (anteprima limitata).

Risorse dell'agente

Le informazioni seguenti descrivono le directory e gli account utente usati dall'agente di Azure Connected Machine.

Dettagli sull'installazione dell'agente per Windows

L'agente Windows viene distribuito come pacchetto Windows Installer (MSI). Scaricare l'agente Windows dall'Area download Microsoft. L'installazione dell'agente Connected Machine per Windows applica le modifiche di configurazione seguenti a livello di sistema:

  • Il processo di installazione crea le cartelle seguenti durante la configurazione.

    Directory Descrizione
    %ProgramFiles%\AzureConnectedMachineAgent CLI azcmagent e file eseguibili del servizio metadati dell'istanza.
    %ProgramFiles%\AzureConnectedMachineAgent\ExtensionService2\GC Eseguibili del servizio di estensione.
    %ProgramFiles%\AzureConnectedMachineAgent\GCArcService2\GC Eseguibili del servizio di configurazione guest (criteri).
    %ProgramData%\AzureConnectedMachineAgent File di configurazione, log e token di identità per l'interfaccia della riga di comando azcmagent e il servizio metadati dell'istanza.
    %ProgramData%\GuestConfig Download dei pacchetti di estensione, download delle definizioni di configurazione guest (criteri) e log per i servizi di configurazione guest e estensione.
    %SYSTEMDRIVE%\packages Eseguibili del pacchetto di estensione
  • L'installazione dell'agente crea i servizi Windows seguenti nel computer di destinazione.

    Service name Nome visualizzato Nome processo Descrizione
    himds Servizio metadati dell'istanza di Azure Hybrid himds.exe Sincronizza i metadati con Azure e ospita un'API REST locale che consente alle estensioni e alle applicazioni di accedere ai metadati e richiedere i token di identità gestita di Microsoft Entra
    GCArcService Servizio Arc di configurazione guest gc_arc_service.exe (gc_service.exe precedente alla versione 1.36) Controlla e applica i criteri di configurazione guest di Azure al computer.
    ExtensionService Servizio di estensione di configurazione guest gc_extension_service.exe (gc_service.exe precedente alla versione 1.36) Installa, aggiorna e gestisce le estensioni sul computer.
  • L'installazione dell'agente crea l'account del servizio virtuale seguente.

    Account virtuale Descrizione
    SERVIZIO NT\himds Account senza privilegi usato per eseguire l’Hybrid Instance Metadata Service.

    Suggerimento

    Questo account richiede il diritto "Accedi come servizio". Questo diritto viene concesso automaticamente durante l'installazione dell'agente, ma se l'organizzazione configura le assegnazioni dei diritti utente con criteri di gruppo, potrebbe essere necessario modificare l'oggetto Criteri di gruppo e concedere il diritto a "SERVIZIO NT\himds" o "SERVIZIO NT\TUTTI I SERVIZI" per consentire il funzionamento dell'agente.

  • L'installazione dell'agente crea il gruppo di sicurezza locale seguente.

    Nome gruppo di sicurezza Descrizione
    Applicazioni di estensione dell'agente ibrido I membri di questo gruppo di sicurezza possono richiedere token Microsoft Entra per l'identità gestita assegnata dal sistema
  • L'installazione dell'agente crea le variabili di ambiente seguenti

    Nome Valore predefinito Descrizione
    IDENTITY_ENDPOINT http://localhost:40342/metadata/identity/oauth2/token
    IMDS_ENDPOINT http://localhost:40342
  • Per la risoluzione dei problemi sono disponibili diversi file di log, descritti nella tabella seguente.

    Log Descrizione
    %ProgramData%\AzureConnectedMachineAgent\Log\himds.log Registra i dettagli dei componenti heartbeat e agente di identità.
    %ProgramData%\AzureConnectedMachineAgent\Log\azcmagent.log Contiene l'output dei comandi dello strumento azcmagent.
    %ProgramData%\GuestConfig\arc_policy_logs\gc_agent.log Registra informazioni dettagliate sul componente agente di configurazione guest (criteri).
    %ProgramData%\GuestConfig\ext_mgr_logs\gc_ext.log Registra informazioni dettagliate sull'attività di gestione delle estensioni (installazione e disinstallazione delle estensioni ed eventi di aggiornamento).
    %ProgramData%\GuestConfig\extension_logs Directory contenente i log delle singole estensioni.
  • Il processo crea il gruppo di sicurezza locale applicazioni di estensione dell'agente ibrido.

  • Dopo la disinstallazione dell'agente, rimangono gli artefatti seguenti.

    • %ProgramData%\AzureConnectedMachineAgent\Log
    • %ProgramData%\AzureConnectedMachineAgent
    • %ProgramData%\GuestConfig
    • %SystemDrive%\packages

Dettagli sull'installazione dell'agente per Linux

Il formato di pacchetto preferito per la distribuzione (.rpm or .deb) ospitata nel repository dei pacchetti di Microsoft fornisce l’agente di Connected Machine per Linux. Il bundle di script della shell Install_linux_azcmagent.sh installa e configura l'agente.

L'installazione, l'aggiornamento e la rimozione dell'agente Connected Machine non sono necessari dopo il riavvio del server.

L'installazione dell'agente Connected Machine per Linux applica le modifiche di configurazione seguenti a livello di sistema.

  • L’istallazione crea le cartelle di installazione seguenti.

    Directory Descrizione
    /opt/azcmagent/ CLI azcmagent e file eseguibili del servizio metadati dell'istanza.
    /opt/GC_Ext/ Eseguibili del servizio di estensione.
    /opt/GC_Service/ Eseguibili del servizio di configurazione guest (criteri).
    /var/opt/azcmagent/ File di configurazione, log e token di identità per l'interfaccia della riga di comando azcmagent e il servizio metadati dell'istanza.
    /var/lib/GuestConfig/ Download dei pacchetti di estensione, download delle definizioni di configurazione guest (criteri) e log per i servizi di configurazione guest e estensione.
  • L'installazione dell'agente crea i daemon seguenti.

    Service name Nome visualizzato Nome processo Descrizione
    himdsd.service Servizio agente di Azure Connected Machine himds Questo servizio implementa il Servizio metadati dell'istanza ibrida (IMDS) per gestire la connessione ad Azure e l'identità di Azure del computer connesso.
    gcad.service Servizio Arc di GC gc_linux_service Controlla e applica i criteri di configurazione guest di Azure al computer.
    extd.service Servizio di estensione gc_linux_service Installa, aggiorna e gestisce le estensioni sul computer.
  • Per la risoluzione dei problemi sono disponibili diversi file di log, descritti nella tabella seguente.

    Log Descrizione
    /var/opt/azcmagent/log/himds.log Registra i dettagli dei componenti heartbeat e agente di identità.
    /var/opt/azcmagent/log/azcmagent.log Contiene l'output dei comandi dello strumento azcmagent.
    /var/lib/GuestConfig/arc_policy_logs Registra informazioni dettagliate sul componente agente di configurazione guest (criteri).
    /var/lib/GuestConfig/ext_mgr_logs Registra informazioni dettagliate sull'attività di gestione delle estensioni (installazione e disinstallazione delle estensioni ed eventi di aggiornamento).
    /var/lib/GuestConfig/extension_logs Directory contenente i log delle singole estensioni.
  • L'installazione dell'agente crea le seguenti variabili di ambiente, impostate in /lib/systemd/system.conf.d/azcmagent.conf.

    Nome Valore predefinito Descrizione
    IDENTITY_ENDPOINT http://localhost:40342/metadata/identity/oauth2/token
    IMDS_ENDPOINT http://localhost:40342
  • Dopo la disinstallazione dell'agente, rimangono gli artefatti seguenti.

    • /var/opt/azcmagent
    • /var/lib/GuestConfig

Governance delle risorse dell'agente

L'agente di Azure Connected Machine è progettato per gestire il consumo di risorse da parte di agente e sistema. L'agente si approccia alla governance delle risorse alle condizioni seguenti:

  • Il servizio Configurazione computer (in precedenza Configurazione guest) può usare fino al 5% della CPU per valutare i criteri.

  • Il servizio estensione può usare fino al 5% della CPU nei computer Windows e il 30% della CPU nei computer Linux per installare, aggiornare, eseguire ed eliminare estensioni. Alcune estensioni potrebbero applicare limiti di CPU più restrittivi dopo l'installazione. Vengono applicate le seguenti eccezioni:

    Tipo di estensione Sistema operativo Limite CPU
    AzureMonitorLinuxAgent Linux 60%
    AzureMonitorWindowsAgent Finestre 100%
    LinuxOsUpdateExtension Linux 60%
    MDE.Linux Linux 60%
    MicrosoftDnsAgent Finestre 100%
    MicrosoftMonitoringAgent Finestre 60%
    OmsAgentForLinux Linux 60%

Durante le normali operazioni, definite come se l'agente Azure Connected Machine fosse connesso ad Azure e non stesse modificando attivamente un'estensione o valutando un criterio, si può prevedere che l'agente utilizzi le risorse di sistema seguenti:

Windows Linux
Utilizzo della CPU (normalizzato a 1 core) 0.07% 0.02%
Utilizzo della memoria 57 MB 42 MB

I dati sulle prestazioni sopra riportati sono stati raccolti nell'aprile 2023 nelle macchine virtuali che eseguono Windows Server 2022 e Ubuntu 20.04. Le prestazioni effettive dell'agente e il consumo di risorse varieranno in base alla configurazione hardware e software dei server.

Limiti delle risorse personalizzate

I limiti di governance delle risorse predefiniti sono la scelta migliore per la maggior parte dei server. Tuttavia, le macchine virtuali e i server di piccole dimensioni con risorse CPU limitate potrebbero riscontrare timeout durante la gestione delle estensioni o la valutazione dei criteri perché non sono presenti risorse CPU sufficienti per completare le attività. A partire dalla versione 1.39 dell'agente, è possibile personalizzare i limiti di CPU applicati al gestore estensioni e ai servizi Configurazione computer per consentire all'agente di completare queste attività più velocemente.

Per visualizzare i limiti correnti delle risorse per gestione estensioni e i servizi Configurazione computer, eseguire il comando seguente.

azcmagent config list

Nell'output verranno visualizzati due campi, guestconfiguration.agent.cpulimit e extensions.agent.cpulimit con il limite di risorse corrente specificato come percentuale. In una nuova installazione dell'agente verranno visualizzati entrambi 5 perché il limite predefinito è il 5% della CPU.

Per modificare il limite di risorse per gestione estensioni su 80%, eseguire il comando seguente:

azcmagent config set extensions.agent.cpulimit 80

Metadati dell'istanza

Le informazioni sui metadati relative a un computer connesso vengono raccolte dopo la registrazione dell'agente Connected Machine ai server abilitati per Azure Arc. In particolare:

  • Nome del sistema operativo, edizione, tipo e versione
  • Nome del computer
  • Produttore e modello del computer
  • Nome di dominio completo (FQDN) del computer
  • Nome di dominio (se aggiunto a un dominio Active Directory)
  • Nome di dominio completo (FQDN) di Active Directory e DNS
  • UUID (ID BIOS)
  • Heartbeat dell'agente di Connected Machine
  • Versione dell'agente Connected Machine
  • Chiave pubblica per l'identità gestita
  • Stato e dettagli di conformità dei criteri (se si usano criteri di configurazione guest)
  • SQL Server installato (valore booleano)
  • ID della risorsa cluster (per i nodi di Azure Stack HCI)
  • Produttore hardware
  • Modello hardware
  • Famiglia CPU, socket, numero di core fisici e logici
  • Memoria fisica totale
  • Numero di serie
  • Tag risorsa SMBIOS
  • Informazioni sull'interfaccia di rete
    • Indirizzo IP
    • Subnet
  • Informazioni sulle licenze di Windows
    • Stato della licenza del sistema operativo
    • Canale licenze del sistema operativo
    • Idoneità per gli aggiornamenti della sicurezza estesi
    • Stato della licenza degli aggiornamenti della sicurezza estesa
    • Canale di licenza degli aggiornamenti della sicurezza estesa
  • Provider di servizi cloud
  • Metadati di Amazon Web Services (AWS), quando eseguiti in AWS:
    • ID conto
    • Instance ID
    • Area
  • Metadati di Google Cloud Platform (GCP) quando eseguiti in GCP:
    • Instance ID
    • Image
    • Tipo di computer
    • ID progetto
    • Numero progetto
    • Account di servizio
    • Zona
  • Metadati di Oracle Cloud Infrastructure, quando vengono eseguiti in OCI:
    • Nome visualizzato

L'agente richiede le informazioni sui metadati seguenti ad Azure:

  • Località della risorsa (area)
  • ID macchina virtuale
  • Tag
  • Certificato di identità gestita di Microsoft Entra
  • Assegnazioni dei criteri di configurazione guest
  • Richieste di estensione: installazione, aggiornamento ed eliminazione.

Nota

I server abilitati per Azure Arc non archiviano/elaborano i dati dei clienti all'esterno dell'area in cui il cliente distribuisce l'istanza del servizio.

Opzioni di distribuzione e requisiti

La distribuzione dell'agente e la connessione del computer richiedono determinati prerequisiti. Esistono anche requisiti di rete essere a conoscenza.

Sono disponibili diverse opzioni per la distribuzione dell'agente. Per altre informazioni, vedere Piano di distribuzione e Opzioni di distribuzione.

Linee guida per la clonazione

È possibile installare in modo sicuro il pacchetto azcmagent in un'immagine golden, ma dopo aver connesso un computer usando il comando , tale azcmagent connect computer riceve informazioni specifiche sulle risorse. Se si creano computer clonandoli da un'immagine d'oro, è necessario prima di tutto specializzare ogni computer prima di connetterlo ad Azure con il azcmagent connect comando . Non connettere il computer originale con immagine d'oro ad Azure fino a quando non è stato creato e specializzato ogni computer.

Se il server connesso riceve 429 messaggi di errore, è probabile che il server sia connesso ad Azure e che sia stato usato come immagine d'oro per la clonazione. Poiché le informazioni sulle risorse sono state registrate nell'immagine, i computer clonati creati da tale immagine tentano di inviare messaggi heartbeat alla stessa risorsa.

Per risolvere i messaggi di errore 429 per i computer esistenti, eseguire azcmagent disconnect --force-local-only in ogni computer clonato, quindi azcmagent connect eseguire di nuovo usando una credenziale appropriata per connettere i computer al cloud usando un nome di risorsa univoco.

Ripristino di emergenza

Non sono disponibili opzioni di ripristino di emergenza abilitate per i clienti per i server abilitati per Arc. In caso di interruzione in un'area di Azure, il sistema eseguirà il failover in un'altra area nella stessa geografia di Azure (se presente). Anche se questa procedura di failover è automatica, l'operazione richiede tempo. L'agente Connected Machine verrà disconnesso durante questo periodo e mostrerà lo stato Disconnesso fino al completamento del failover. Il sistema eseguirà il failback nell'area originale dopo il ripristino dell'interruzione.

Un'interruzione di Azure Arc non influirà sul carico di lavoro del cliente stesso; solo la gestione dei server applicabili tramite Arc sarà compromessa.

Passaggi successivi